A. Kewajiban dan Tanggung Jawab Bank sebagai Peserta dalam Penyelenggaraan SKNBI
Dalam penyelenggaraan SKNBI, Bank sebagai Peserta mempunyai kewajiban dan tanggung jawab sebagai berikut:
1. Menyediakan TPK Utama dan TPK Back-up serta sarana pendukung yang ditetapkan Bank Indonesia, dengan ketentuan sebagai berikut:
a. Dalam hal di suatu Wilayah Kliring Bank memiliki beberapa kantor yang menjadi Peserta, Bank wajib menyediakan TPK Utama dan TPK Back-up sekurang-kurangnya untuk 1 (satu) kantor Bank yang menjadi Peserta. Dalam hal ini, Peserta yang tidak memiliki TPK dapat melakukan kegiatan SKNBI melalui Peserta lainnya yang memiliki TPK dengan memanfaatkan sistem internal Peserta. Segala konsekuensi jika terjadi gangguan pada sistem internal Peserta merupakan tanggung jawab Peserta yang bersangkutan.
b. Jenis dan spesifikasi minimum TPK serta sarana pendukungnya sebagaimana tercantum dalam Lampiran 3.1.
c. Berdasarkan konfigurasi sistem back-up dan proses up-dating data, TPK Back-up dapat dibedakan sebagai berikut:
1) Hot back-up
Hot back-up adalah sistem teknologi informasi cadangan dengan
karakteristik sebagai berikut:
a) sudah di-install dengan aplikasi yang sama dengan aplikasi pada TPK Utama;
b) langsung terhubung dengan TPK Utama; dan
c) updating data dilakukan setiap saat bersamaan dengan updating data pada TPK Utama (synchronised).
2) Warm back-up
Warm back-up adalah sistem teknologi informasi cadangan dengan
karakteristik sebagai berikut:
a) sudah di-install dengan aplikasi yang sama dengan aplikasi pada TPK Utama;
b) terhubung langsung dengan TPK Utama; dan
c) updating data dan aplikasi dilakukan secara periodik, sehingga kepindahan ke TPK Back-up mensyaratkan adanya proses restore
untuk menyamakan data di TPK Back-up dengan posisi terakhir di TPK Utama.
3) Cold back-up
Cold back-up adalah sistem teknologi informasi cadangan yang tidak
terhubung langsung dengan TPK Utama, sehingga pada saat akan menggunakan TPK Back-up diperlukan tahapan untuk mengaktifkan TPK
Back-up dan restore data untuk menyamakan data di TPK Back-up dengan
TPK Utama. Untuk menjamin kesiapan TPK Back-up, Peserta wajib melakukan proses updating data sekurang-kurangnya 1 (satu) kali sehari pada setiap akhir hari.
d. Pemilihan konfigurasi TPK Back-up diserahkan kepada setiap Peserta berdasarkan pertimbangan tingkat urgensi TPK bagi Peserta yang bersangkutan. Namun demikian, khusus untuk TPK on-line disarankan agar menggunakan “Hot
back-up”, sehingga tidak terdapat penundaan transaksi jika TPK Utama tidak dapat
berfungsi.
e. TPK Back-up dapat diletakkan pada lokasi yang sama dengan TPK Utama (on-site
back-up) ataupun diletakkan di lokasi yang berbeda dengan TPK Utama (off-site back-up). Untuk menjamin kelangsungan operasional Peserta dalam
penyelenggaraan SKNBI, untuk TPK on-line dianjurkan memiliki off-site back-up, agar lebih aman karena berada pada lokasi yang berbeda.
f. Melakukan back-up data dan penghapusan data sesuai dengan jadwal retensi yang ditetapkan oleh Peserta.
2. Menyediakan JKD Utama dan JKD Back-up untuk TPK on-line. Penyediaan JKD dari TPK ke SSK diatur sebagai berikut:
a. Penyediaan JKD hanya untuk Peserta yang menggunakan TPK on-line.
b. JKD yang digunakan dari TPK on-line ke SSK dapat menggunakan jenis koneksi sebagai berikut:
1) TPK terhubung secara langsung ke SSK secara leased line atau dial up (physical connection); atau
2) TPK terhubung ke SSK melalui TPK lain yang terhubung secara langsung ke SSK dengan physical connection (virtual/logical connection).
c. Penetapan penggunaan jenis koneksi JKD sebagaimana dimaksud pada huruf a diserahkan pada kebutuhan masing-masing Bank.
masing-masing Bank.
3. Menyusun kebijakan dan prosedur tertulis mengenai operasional SKNBI.
a. Kebijakan dan prosedur tertulis mengenai operasional SKNBI adalah aturan tertulis yang ditetapkan direksi atau pejabat yang berwenang, yang antara lain mengatur pembagian tugas, mekanisme kerja, pengendalian risiko, responsibilitas, dan akuntabilitas satuan kerja yang menangani SKNBI. Kebijakan dan prosedur tertulis digunakan sebagai pedoman pelaksanaan operasional oleh Peserta. Termasuk dalam cakupan kebijakan dan prosedur tertulis adalah DRP atau BCP dalam kondisi gangguan dan Keadaan Darurat.
b. Dalam hal Bank memiliki beberapa kantor yang menjadi Peserta, maka penyusunan kebijakan dan prosedur tertulis harus mencakup kebijakan dan prosedur yang berlaku di seluruh kantor Bank yang menjadi Peserta.
c. Penyusunan kebijakan dan prosedur tertulis wajib dilakukan dengan mengacu pada ketentuan Bank Indonesia mengenai SKNBI, perjanjian penggunaan SKNBI antara Bank Indonesia dengan Bank serta kesepakatan tertulis antar Peserta (Bye-Laws), dan sekurang-kurangnya memuat materi sesuai “Pedoman Penyusunan Kebijakan dan Prosedur Tertulis oleh Bank sebagai Peserta” sebagaimana tercantum dalam Lampiran 4.1.
4. Menyampaikan kebijakan dan prosedur tertulis mengenai operasional SKNBI sebagaimana dimaksud pada angka 3 dan setiap perubahannya kepada PKN.
a. Penyampaian kebijakan dan prosedur tertulis mengenai operasional SKNBI oleh Bank dimaksudkan sebagai sarana bagi Bank Indonesia selaku PKN untuk mendapatkan informasi mengenai prosedur operasional seluruh kantor Bank yang menjadi Peserta dan sebagai bahan melakukan pembinaan apabila diperlukan.
b. Dalam hal Bank memiliki beberapa kantor yang menjadi Peserta maka kebijakan dan prosedur tertulis yang disampaikan kepada Bank Indonesia selaku PKN hanya 1 (satu) laporan yang mencakup kebijakan dan prosedur tertulis yang berlaku di seluruh kantor Bank yang menjadi Peserta.
c. Kebijakan dan prosedur tertulis disampaikan paling lambat 1 (satu) tahun sejak kepesertaan salah satu kantor Bank untuk pertama kali dalam penyelenggaraan SKNBI.
d. Setiap perubahan kebijakan dan prosedur tertulis disampaikan paling lambat 3 (tiga) bulan terhitung sejak terjadinya perubahan. Perubahan yang wajib
disampaikan adalah perubahan yang mendasar terhadap operasional Bank yang terkait dengan SKNBI.
e. Kebijakan dan prosedur tertulis serta perubahannya disampaikan dengan surat pengantar yang ditandatangani oleh direktur kepatuhan Bank kepada Bagian Penyelenggaraan Setelmen c.q. PKN – Direktorat Akunting dan Sistem Pembayaran, Bank Indonesia, Gedung D Lantai 3, Jalan MH. Thamrin No. 2 Jakarta 10350.
5. Melakukan pemeriksaan internal paling kurang 1 (satu) kali setiap tahun dan menyampaikan laporan hasil pemeriksaan internal kepada PKN pada saat diminta oleh PKN bersamaan dengan kegiatan member certification dengan ketentuan sebagai berikut:
a. Pemeriksaan internal dilakukan oleh satuan kerja audit internal kantor pusat Bank terhadap kepatuhan Peserta dalam memenuhi ketentuan Bank Indonesia, ketentuan internal Peserta dan kesepakatan tertulis antar Peserta (Bye Laws) untuk menjamin kelancaran serta keamanan pelaksanaan sistem dan prosedur operasional SKNBI oleh Peserta.
b. Dalam hal Bank memiliki beberapa kantor yang menjadi Peserta, maka pemeriksaan internal dilakukan sekurang-kurangnya terhadap kantor Bank Peserta yang memiliki TPK on-line yang terhubung langsung ke SSK secara
physical connection.
c. Pemeriksaan internal untuk pertama kali dilakukan paling lambat 1 (satu) tahun sejak tanggal kepesertaan kantor Bank Peserta yang memiliki TPK on-line yang terhubung langsung ke SSK secara physical connection.
d. Pelaksanaan pemeriksaan internal wajib dilakukan dengan mengacu pada ketentuan Bank Indonesia mengenai SKNBI, perjanjian penggunaan SKNBI serta kesepakatan tertulis antar- Peserta (Bye-Laws) dan paling kurang mencakup ruang lingkup pemeriksaan internal sebagaimana diatur dalam Lampiran 4.2 e. Laporan hasil pemeriksaan internal yang disampaikan kepada PKN merupakan
ringkasan hasil pemeriksaan internal yang dilakukan oleh Peserta antara lain berupa temuan, tanggapan auditee dan rekomendasi hasil pemeriksaan internal. Penyampaian laporan hasil pemeriksaan internal dilakukan dengan surat pengantar yang ditandatangani oleh Direktur Kepatuhan kepada:
Bagian Penyelenggaraan Setelmen
Bank Indonesia Gedung D Lantai 3 Jalan MH. Thamrin No. 2
Jakarta 10350.
f. Laporan hasil pemeriksaan internal Peserta sebagaimana dimaksud pada huruf e, sebagai sarana bagi:
1) manajemen Peserta, untuk mendapatkan informasi mengenai kualitas tingkat kepatuhan dalam memenuhi ketentuan, keamanan operasional Peserta; dan
2) PKN, untuk mendapatkan informasi dalam rangka pelaksanaan member
certification.
6. Melakukan security audit paling kurang 1 (satu) kali dalam jangka waktu 1 (satu) tahun sejak tanggal kepesertaan dan setiap terjadi perubahan dalam sistem teknologi informasi internal Peserta yang terkait dengan SKNBI serta menyampaikan hasil
security audit tersebut kepada PKN pada saat diminta oleh PKN bersamaan dengan
kegiatan member certification.
Security audit adalah pemeriksaan terhadap keamanan teknologi informasi internal
Peserta, hubungan (interface) antara aplikasi TPK dengan sistem internal Peserta, serta kondisi lingkungan Peserta.
a. Pelaksanaan security audit dapat dilakukan oleh auditor internal Bank Peserta atau auditor eksternal.
b. Dalam hal Bank memiliki beberapa kantor yang menjadi Peserta maka security
audit dilakukan terhadap kantor Bank yang memiliki TPK on-line yang terhubung
langsung ke SSK secara physical connection.
c. Pelaksanaan security audit untuk pertama kali dilakukan paling lambat 1 (satu) tahun sejak tanggal kepesertaan kantor Bank yang memiliki TPK on-line sebagaimana dimaksud pada huruf b. Security audit selanjutnya dilakukan apabila terjadi perubahan dalam sistem teknologi informasi internal Peserta yang terkait dengan operasional penyelenggaraan SKNBI.
d. Security audit ini wajib dilakukan dengan mengacu pada ketentuan Bank
Indonesia mengenai SKNBI, perjanjian penggunaan SKNBI serta kesepakatan tertulis antar Peserta (Bye-Laws) dan paling kurang mencakup ruang lingkup
security audit sebagaimana diatur dalam Lampiran 4.3.
merupakan hasil ringkasan security audit yang dilakukan oleh Peserta antara lain berupa temuan, tanggapan auditee, dan rekomendasi hasil security audit pada saat diminta oleh PKN bersamaan dengan kegiatan member certification. Penyampaian laporan hasil security audit dilakukan dengan surat pengantar yang ditandatangani oleh Direktur Kepatuhan kepada Bagian Penyelenggaraan Setelmen, c.q. PKN - Direktorat Akunting dan Sistem Pembayaran, Bank Indonesia, Gedung D Lantai 3, Jalan MH. Thamrin No. 2, Jakarta 10350.
f. Laporan hasil security audit sebagaimana dimaksud pada huruf e, sebagai sarana bagi :
1) Manajemen Peserta, untuk mendapatkan informasi mengenai kualitas tingkat kepatuhan dalam memenuhi ketentuan, keamanan operasional Peserta; dan 2) Bank Indonesia selaku PKN, untuk mendapatkan informasi dalam rangka
pelaksanaan member certification.
7. Mengumumkan secara tertulis di seluruh kantor Bank jenis dan besarnya biaya transaksi SKNBI yang ditetapkan oleh Bank Indonesia dan jadwal pelayanan nasabah yang terkait dengan setoran Kliring yang ditetapkan oleh Bank. Pengumuman besarnya biaya Kliring dan jam pelayanan nasabah dilakukan pada tempat yang mudah dilihat oleh nasabah.
8. Mengikuti kegiatan Kliring Debet dan Kliring Kredit sesuai dengan jadwal yang ditetapkan oleh PKN dan PKL.
9. Melakukan pengamanan dalam pengiriman transaksi untuk mencegah terjadinya manipulasi transaksi melalui SKNBI. Pengamanan tersebut antara lain meliputi hal-hal sebagai berikut:
a. Mengoperasikan TPK sesuai dengan Buku Pedoman TPK yang dikeluarkan oleh Bank Indonesia secara terpisah dari Surat Edaran ini.
b. Menggunakan kode registrasi, user id dan password aplikasi TPK, user id dan
password untuk mengakses jaringan ekstranet Bank Indonesia (khusus JKD yang
menggunakan VPN dial), sandi terminal, password login SSK, security key dan
master key dalam mengoperasikan TPK secara benar dan bertanggung jawab.
c. Tidak meng-install aplikasi selain aplikasi TPK dan aplikasi pendukung pada TPK Utama dan TPK Back-up.
d. Tidak melakukan perubahan dalam bentuk dan cara apapun terhadap aplikasi TPK.
jaringan ekstranet Bank Indonesia (khusus JKD yang menggunakan VPN dial),
password login SSK, dalam mengoperasikan TPK hanya diberikan kepada petugas
yang berwenang.
f. Menempatkan server TPK Utama dan server TPK Back-up pada ruangan khusus yang harus dilengkapi dengan pengamanan yang memadai antara lain meliputi: 1) akses masuk harus dibatasi;
2) temperatur, kelembaban, dan tegangan listrik yang memenuhi spesifikasi server TPK Utama dan TPK Back-up;
3) peralatan Uninterrupted Power Supply (UPS); dan 4) perlengkapan pemadam kebakaran.
g. Menatausahakan dokumen penting TPK seperti serial number aplikasi TPK,
master key, security key, sandi terminal, kode registrasi, serta user id dan password VPN dial di tempat yang terkunci dan hanya dapat diakses oleh pihak
yang berwenang.
h. Melakukan penatausahaan, pemeliharaan dan pengawasan terhadap Warkat Debet dan Dokumen Kliring, TPPK serta menjaga kualitas MICR, mesin encoder atau reader encoder yang dimiliki agar tidak disalahgunakan.
i. Melaporkan dengan segera kepada PKL dan/atau PKN dalam hal terdapat perbedaan atau perubahan atas DKE dan/atau Warkat Debet dan laporan hasil Kliring yang diterima dan/atau yang diserahkan. Apabila terdapat dugaan yang kuat bahwa telah terjadi penyalahgunaan Warkat Debet dan/atau manipulasi pengiriman DKE maka Peserta yang bersangkutan harus melakukan langkah-langkah pengamanan sesuai dengan ketentuan yang berlaku dan memberitahukan Peserta lawan transaksi. Langkah-langkah pengamanan tersebut antara lain dengan melaporkan hal tersebut kepada instansi yang berwenang seperti kepolisian untuk penyelesaiannya.
10. Menindaklanjuti dan melaporkan setiap perubahan nama, status, alamat, dan/atau hal-hal lain yang berkaitan dengan operasional SKNBI secara tertulis kepada PKL dan/atau PKN serta melakukan penyesuaian-penyesuaian yang diperlukan.
11. Mematuhi ketentuan-ketentuan lainnya yang berkaitan dengan kegiatan operasional penyelenggaraan SKNBI.
Kewajiban dan tanggung jawab Peserta sebagaimana dimaksud pada angka 1 sampai dengan angka 11 dimaksudkan agar Peserta menerapkan prinsip kehati-hatian dan langkah-langkah pengamanan untuk mencegah kemungkinan adanya penyalahgunaan dalam penyelenggaraan
SKNBI. Dalam hal terdapat penyalahgunaan, manipulasi, dan/atau kelalaian dalam melaksanakan kewajiban dan tanggung jawab Peserta dalam penyelenggaraan SKNBI, maka hal tersebut menjadi tanggung jawab Peserta yang bersangkutan.
B. Kewajiban pengurus dan/atau pejabat eksekutif Bank
Pengurus dan/atau pejabat eksekutif Bank wajib melaksanakan langkah-langkah yang diperlukan untuk memastikan ketaatan seluruh kantor Bank yang menjadi Peserta terhadap ketentuan Bank Indonesia mengenai penyelenggaraan SKNBI.
Yang dimaksud pengurus Bank adalah pengurus sebagaimana diatur dalam ketentuan Bank Indonesia yang mengatur mengenai penilaian kemampuan dan kepatutan (fit and proper test), yaitu komisaris dan direksi perusahaan atau Bank, atau yang setara dengan itu, termasuk antara lain tim pengawas dan tim pengelola Bank dalam penyehatan.
Yang dimaksud pejabat eksekutif Bank adalah pejabat eksekutif sebagaimana diatur dalam ketentuan Bank Indonesia yang mengatur mengenai penilaian kemampuan dan kepatutan (fit
and proper test), yaitu pejabat yang bertanggungjawab langsung kepada direksi atau
mempunyai pengaruh terhadap kebijakan dan operasional perusahaan atau Bank, antara lain pemimpin kantor cabang dan kepala satuan kerja audit intern.
Langkah-langkah yang perlu dilakukan antara lain melakukan monitoring atas penerapan
security audit dan monitoring atas pemeriksaan internal yang menjamin keamanan
operasional SKNBI sesuai dengan ketentuan Bank Indonesia mengenai SKNBI yang dapat mendukung diketahuinya secara dini terjadinya penyimpangan.
BAB V
